Как описано здесь http://blogs.gartner.com/avivah-litan/2010/04/22/watch-out-transaction-signing-is-being-socially-engineered/предотвращение проблема безопасности IFrame
Способ подписания транзакции, которая была нарушена работы является то, что когда запрос на платеж был инициирован интернет-банкинга пользователя, банк запрашивает у пользователя подписать его/ее транзакцию на специальном считывателе внеполосного EMV CAP с вставленной карточкой пользователя EMV Chip. Пользователю предлагается ввести определенные коды и значения на считывателе , подтверждающие сумму валюты, подлежащую передаче, и учетную запись - .
Ну мошенники знали, когда подписание транзакция инициируется и просто положить IFRAME на вершине браузера пользователя, который изменил значения, которые будут введены, так что пользователи в конечном итоге набрав в банковском счете мошенника как адрес назначения, а не номер , который они намеревались.
Что-то думать о том, когда дело доходит до подписей о транзакциях - , демонстрируя необходимость сохранения всего процесса с ПК (в этом случае ) и на другом канале целиком.
Можете ли вы объяснить, как можно «разместить iframe поверх браузера пользователя» и как технически предотвратить такое мошенничество?
Эта цитата почти эквивалентна заявлению, что, поскольку некоторые банки разрешают кому-либо писать номера на вашем чеке, прежде чем вы его наливаете, мы не должны иметь банков. Если компьютер пользователя взломан, конечно, мошенники контролируют все. Если веб-сайт банка настолько плохо разработан, что он позволяет использовать уязвимость XSS, конечно, мошенники могут контролировать все. Если пользователь обманом задумался, что поддельный банковский сайт является настоящим банковским сайтом (нет двухфакторного авторизации, нет уникального приветствия «Привет Боб, ваше секретное слово ____»), тогда, конечно, пользователь и банк находятся в глубокой беде. – ninjagecko